Apple iOS/macOS の2つのゼロデイ脆弱性が FIX

Apple fixes iOS zero-day used to deploy NSO iPhone spyware

2021/09/13 BleepingComputer — Apple は、iPhone/Mac 攻撃での悪用が確認されている、2つのゼロデイ脆弱性を修正するセキュリティ・アップデートを公開した。そのうちの1つは、iPhone にスパイウェア Pegasus のインストールのために使用されることが知られている。これらの脆弱性は、CVE-2021-30860 および CVE-2021-30858 として追跡されており、悪意を持って作成されたドキュメントを、脆弱なデバイスで開くとコマンドが実行されるというものだ。

CoreGraphics の脆弱性 CVE-2021-30860 は、Citizen Lab が発見した整数オーバーフローのバグであり、脅威アクターが悪意を持って作成した PDF 文書を、iOS/macOS で開いた際にコマンドを実行することが可能になる。WebKit の use after free の脆弱性 CVE-2021-30858 は、悪意の細工を施した Web ページ作成と関連するものであり、iPhone/macOS でアクセスするとコマンドが実行されることになる。 Apple は、この脆弱性について、匿名で公開されたとしている。

本日に公開された、この2つの脆弱性を含むセキュリティ・アドバイザリで Appleは、「これらの脆弱性が、積極的に悪用された可能性があるという報告を認識している」と述べている。これらの脆弱性について Apple は、どのような攻撃に利用されたのかという、詳細な情報は公開していない。しかし Citizen Lab は、CVE-2021-30860 はゼロデイであり、FORCEDENTRY という名のゼロクリック iMessage エクスプロイトであることを確認している。

FORCEDENTRY エクスプロイトは、iOS のセキュリティ機能である BlastDoor をバイパスするものであり、バーレーンの活動家が脆弱化したデバイスに、スパイウェア NSO Pegasus をディプロイするために使われたことが判明している。BleepingComputer では、この攻撃について Citizen Lab に質問をしているが、現時点では回答は得られていない。

2021年に猛威を振るった Apple ゼロデイ

今年は、Apple にとって非常に忙しい年であり、iOS/macOS デバイスに対する、標的型攻撃に使用されるゼロデイ脆弱性が後を絶たなかった。

・2月:3件の iOS のゼロデイ (CVE-2021-1870 CVE-2021-1871 CVE-2021-1872) がワイルドに悪用された。
・3月:iOS ゼロデイ (CVE-2021-1879) が積極的に悪用された可能性がある。
・4月:iOS ゼロデイ (CVE-2021-30661) と macOS ゼロデイ (CVE-2021-30657) が Shlayer マルウェアに悪用された。
・5月:iOS ゼロデイ(CVE-2021-30663 CVE-2021-30665 CVE-2021-30666)により、悪意の Web サイトにアクセスするだけで任意のリモートコードが実行される。
・5月:macOS のゼロデイ (CVE-2021-30713) は、XCSSET マルウェアに悪用され、Apple の TCC プライバシー保護機能を回避。
・6月:2つの iOS のゼロデイ (CVE-2021-30761 CVE-2021-30762) は、古い iPhone/iPad/iPod デバイスをハッキングするために、積極的に悪用された可能性がある。
・8月:FORCEDENTRY (Amnesty Techでは Megalodon として追跡調査)

また、Project Zero は、Windows/iOS/Android 端末の攻撃に利用された、11件のゼロデイ脆弱性を公開している。

一連の Apple セキュリティ・アップデートを確認してください。9月13日付けで、いろいろと並んでします。それにしても、今年はかなりのゼロデイがありましたね。このブログは、macOS Catalina マシンで書いていますが、CVE-2021-30860 が該当するようです。アップデートがマダ来ていないので、それまでは PDF のオープンに気をつけます。

%d bloggers like this: